Armée du RGPD, Orange fait empêcher l’identification de centaines d’IP par un ayant droit

Armée du RGPD, Orange fait empêcher l’identification de centaines d’IP par un ayant droit

Comment ne pas être débouté

Avatar de l'auteur

Marc Rees

Publié dansDroit

06/09/2019
32
Armée du RGPD, Orange fait empêcher l’identification de centaines d’IP par un ayant droit

Un producteur a été débouté de sa demande d’identification de 895 adresses IP. Il a trouvé sur son chemin Orange qui lui a opposé victorieusement la législation sur la protection des données personnelles, dont le RGPD. Explications. 

Une ordonnance rendue le 2 août dernier jette un pavé dans la mare des sociétés luttant contre le « piratage » sur Internet. Le producteur québécois Mile High Distribution Inc avait mandaté l’allemande Media Protector à charge pour elle de relever les IP partageant ses œuvres en ligne, outre leur titre, le nom du FAI et l’horodatage. 

Près de 900 IP furent ainsi collectées entre novembre 2017 et décembre 2018, toutes prises le doigt dans le pot de confiture du téléchargement illicite de films pour adulte, une des spécialités de l’entreprise canadienne.

Le 8 avril 2019, le juge des requêtes ordonne à Orange « de conserver les informations utiles à l’identification des personnes » cachées derrière ces adresses. Le 11 mars, le producteur fait citer directement le FAI dans une audience de référé, procédure contradictoire cette fois, pour obtenir communication des données d’identification.

La suite attendue se devinait facilement : avec ce stock en main, l’ayant droit allait pouvoir initier des procédures beaucoup plus rugueuses à l’encontre des abonnés sauf que la législation sur les données personnelles a joué les trouble-fêtes.

Des IP, une collecte, une législation

Dans une ordonnance rendue le 2 août 2019 relevée par Legalis.net, le juge des référés du TGI de Paris a été très attentif aux arguments du fournisseur d’accès.

Suivant les arguments d’Orange, il a rappelé qu’une mesure d’identification d’IP n’est légalement admise « que si la collecte des adresses IP des contrefacteurs présumés a été elle-même effectuée légalement ». Or Orange va utilement rappeler l’existence de cette législation, refusant de jeter en pâture les données de ses clients aussi facilement.

La décision rappelle d’abord que les IP sont bien des données personnelles et leur collecte, un traitement soumis à la loi CNIL, tout comme au règlement général sur la protection des données applicable depuis le 25 mai. « Ainsi, pour être licites, la collecte et le traitement des adresses IP précitées doivent avoir été opérés dans le respect des règles applicables au droit à la protection des données à caractère personnel, en application des textes précités. »

Il estime ensuite que le producteur est bien responsable de traitements. C’est lui qui a déterminé les finalités de la collecte, à la collecte des IP pour assurer la défense de son catalogue de films.

De multiples défaillances

Le couvercle du RGPD soulevé, la décision revient sur ses articles 27, 30 et 37 du RGPD. Un tel responsable de traitements doit désigner un représentant en Europe puisqu’il s’agit d’une collecte à grande échelle de données d’infraction.

De même, pour cette raison, « il lui appartient de tenir à jour un registre des traitements au sein duquel une fiche du registre doit être consacrée au traitement de données objet du présent litige ». L’article 10 l’oblige en outre à désigner un délégué à la protection des données.

Ce n’est pas tout. Le responsable de traitements doit assurer un haut niveau de sécurité sur ces données « à l’aide de mesures techniques ou organisationnelles appropriées ». Tout autant, « il doit encore prévoir un encadrement juridique particulier en cas de transfert de données à caractère personnel en dehors de l’Union européenne, comme c’est le cas en l’espèce (transfert de données de la France vers le Canada) ».

Sur chacun de ces points, la société a été dans l’incapacité de démontrer sa conformité au texte. S’agissant de la sécurité, elle s’est contentée de produire un « certificat de coutume » (une attestation) d’un conseil allemand au terme duquel elle respecterait la législation en vigueur. Elle y a ajouté une déclaration de conformité effectuée auprès de la CNIL le 21 septembre 2017.

L'entreprise déboutée

Autant de pièces jugées bien insuffisantes sur l’autel de la loi et du règlement. Conclusion : « la société Mile High Distribution échoue à démontrer le caractère licite du traitement de données à caractère personnel d’adresses IP ».

Faute de traitement licite, les mesures d’instruction sollicitées n’ont pu être ordonnées. Au final, Mile High Distribution INC a été condamnée à payer 8 000 euros à Orange pour couvrir ses frais.

32
Avatar de l'auteur

Écrit par Marc Rees

Tiens, en parlant de ça :

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Petite révolution tranquille

17:39 Soft 5
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

Report minoritaire

15:46 DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

I'm API

15:12 SécuSociété 0

Sommaire de l'article

Introduction

Des IP, une collecte, une législation

De multiples défaillances

L'entreprise déboutée

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 5
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 0
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 11
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 10

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 60
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 6

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

44
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 20
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 21
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 14
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 6

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 16

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 16
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 35
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 53
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 10
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 11

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

MIA : l’IA d’enseignement de Gabriel Attal pour faire oublier le classement PISA

IASociété 5

Une main sur laquelle est collée une étiquette où est écrit "human".

AI Act : des inquiétudes de l’impact de la position française sur les droits humains

DroitIA 0

Un tiroir montrant de nombreuses fiches voire fichiers

Une centaine d’ONG dénonce l’expansion du fichier paneuropéen biométrique EURODAC

DroitSécu 0

WhatsApp

Meta coupe le lien entre Instagram et Messenger

Soft 0

Nuage (pour le cloud) avec de la foudre

Cloud : Amazon rejoint Google dans l’enquête de la CMA sur les pratiques de Microsoft

DroitWeb 0

Des billets volent dans les airs.

Mistral AI s’apprête à lever 450 millions d’euros auprès de NVIDIA et a16z

ÉcoIA 0

Commentaires (32)


skankhunt42
Il y a 4 ans

La news qui tombe à pic, je prépare le pop corn ! <img data-src=" />


crocodudule
Il y a 4 ans

“Elle y a ajouté une déclaration de conformité effectuée auprès de la CNIL le 21 septembre 2018.”

Tiens Monsieur le Juge ! Je me suis fait un document à moi-même pour prouver que je me suis fait un document à moi-même! Si c’est pas la preuve que moi-même a reconnu que moi-même était conforme à la règlementation ! <img data-src=" />
&nbsp;


micktrs Abonné
Il y a 4 ans

Il n’y a plus qu’à lancer une procédure à l’encontre de cet ayant droit pour non-respect du RGPD. 😂😂


meyrand018 Abonné
Il y a 4 ans

je ne sais pas si l’expression “les doigts dans le pot de confiture” est du meilleur goût, vu les “oeuvres” diffusées par cet ayant droit !&nbsp;<img data-src=" /><img data-src=" /><img data-src=" />


tpeg5stan Abonné
Il y a 4 ans

Crise de rire derrière mon écran. <img data-src=" />
Et bravo à Orange pour se soucier des données personnelles <img data-src=" />


Vilainkrauko Abonné
Il y a 4 ans

[Mode troll on]Et avec free ca aurais donné quoi cette demande ?” [Mode troll off]

Désolé ! <img data-src=" />
&nbsp;


Ami-Kuns Abonné
Il y a 4 ans

Confiture ou nutela, tans qu’il y à du plaisir, le reste n’est pas important.<img data-src=" />


MarcRees Abonné
Il y a 4 ans






crocodudule a écrit :

“Elle y a ajouté une déclaration de conformité effectuée auprès de la CNIL le 21 septembre 2018.”

Tiens Monsieur le Juge ! Je me suis fait un document à moi-même pour prouver que je me suis fait un document à moi-même! Si c’est pas la preuve que moi-même a reconnu que moi-même était conforme à la règlementation ! <img data-src=" />
&nbsp;


C’est 2017 d’ailleurs, j’ai corrigé. Mille excuses pour la typo.&nbsp;



crocodudule
Il y a 4 ans






MarcRees a écrit :

C’est 2017 d’ailleurs, j’ai corrigé. Mille excuses pour la typo.&nbsp;


<img data-src=" />



vexal Abonné
Il y a 4 ans

<img data-src=" />


JoePike
Il y a 4 ans






Ami-Kuns a écrit :

Confiture ou nutela, tans qu’il y à du plaisir, le reste n’est pas important.<img data-src=" />


Dans tous les cas ils l’ont dans le c..
Excuse my french
<img data-src=" />



Purexo Abonné
Il y a 4 ans

C’est bon ça oO !


War Machine Abonné
Il y a 4 ans

Comme quoi, des fois, la RGPD peut justifier la flemmingite de devoir répondre à des sollicitations extérieures (et permettre de faire des économies… certainement le réel intérêt d’Orange)


vivienfr Abonné
Il y a 4 ans






DayWalker a écrit :

Comme quoi, des fois, la RGPD peut justifier la flemmingite de devoir répondre à des sollicitations extérieures (et permettre de faire des économies… certainement le réel intérêt d’Orange)


Cela ne fait pas faire d’économies à Orange qui aurait été rémunéré pour obtenir les informations.

C’est juste qu’orange aurait pu être attaqué par un client…



War Machine Abonné
Il y a 4 ans






vivienfr a écrit :

Cela ne fait pas faire d’économies à Orange qui aurait été rémunéré pour obtenir les informations.

C’est juste qu’orange aurait pu être attaqué par un client…


Ce n’est pas parce qu’il y a rétribution en retour que le montant compense l’ensemble des frais engagés. Le montant considéré comme dérisoire que donnait ADOPI a d’ailleurs poussé à ce que certains fournisseurs fassent les difficiles.



refuznik Abonné
Il y a 4 ans

Une bonne nouvelle avant le weekend.


Habu Abonné
Il y a 4 ans

Une news comme on les aime.


plopl Abonné
Il y a 4 ans

Faudrait pas penser que tout est bloqué. Il suffit qu’ils se remettent dans les clous du RGPD et ils récupéreront ces adresses et les suivantes.


sitesref Abonné
Il y a 4 ans






plopl a écrit :

Faudrait pas penser que tout est bloqué. Il suffit qu’ils se remettent dans les clous du RGPD et ils récupéreront ces adresses et les suivantes.


Inexact. Leur récolte de données a été invalidée en justice. Ce qui est déclaré illégal le reste: des données obtenues illégalement ne peuvent devenir légales rétroactivement.

En revanche, ils peuvent s’y prendre plus intelligemment pour l’avenir (pour les prochaine récoltes de données).



wanou2 Abonné
Il y a 4 ans






sitesref a écrit :

Inexact. Leur récolte de données a été invalidée en justice. Ce qui est déclaré illégal le reste: des données obtenues illégalement ne peuvent devenir légales rétroactivement.

En revanche, ils peuvent s’y prendre plus intelligemment pour l’avenir (pour les prochaine récoltes de données).


Du coup, pour obtenir les IP de contrevenants il faut leur accord pour pouvoir utiliser leur adresse IP qui est une donnée personnelle.



fred42 Abonné
Il y a 4 ans

Non, Il y un intérêt légitime pour traiter ces données personnelles donc pas besoin de consentement, par contre, il faut respecter les autres règles du RGPD exposées dans l’article (DPO,…)


vizir67 Abonné
Il y a 4 ans

c’est bon* tout ça ! <img data-src=" />
(retour de bâton)

* pour nous <img data-src=" />


ungars
Il y a 4 ans

En effet, et à la prochaine récolte, les mêmes adresses IP seront présentées, mais dans les règles.
Heureusement qu’il ne s’agit pas d’affaires de terrorisme etc…Mais les règles sont différentes.


Kazer2.0 Abonné
Il y a 4 ans

Je voyais plus Free dans cet état d’esprit que Orange <img data-src=" />


crocodudule
Il y a 4 ans






fred42 a écrit :

Non, Il y un intérêt légitime pour traiter ces données personnelles donc pas besoin de consentement, par contre, il faut respecter les autres règles du RGPD exposées dans l’article (DPO,…)


Attention l’intérêt légitime n’est vraiment pas une justification à tout.

Typiquement ici la deloyauté du procédé de collecte hypothèque très sérieusement la légalité du traitement.

Chez nous ça a conduit à l’hadopi par exemple, ca r la collecte massive et l’atteinte “à la vie privée / protection des données persos” ne permettaient plus la rafle générale d’ip par des entités privées et hors tout cadre légal.



SuXiNeTTe Abonné
Il y a 4 ans

Orange en pourfendeur des injustices ? Ou il y avait une IP dans le tas qui aurait fait scandal ?
Je vous laisse deux heures…


anonyme_7c080d0b57a30a99451672cfc228f71f
Il y a 4 ans

Orange ne fait que protéger sa responsabilité vis-à-vis du RGPD. Pour sûr que lorsqu’une demande conforme à la loi et sans ombrage vis-à-vis des intérêts de l’opérateur sera adressée à Orange, celle-ci sera honorée sans sourciller à propos de la vie privée de chacun.


anonyme_7c080d0b57a30a99451672cfc228f71f
Il y a 4 ans






SuXiNeTTe a écrit :

Orange en pourfendeur des injustices ? Ou il y avait une IP dans le tas qui aurait fait scandal ?
Je vous laisse deux heures…


Il fallait que quelqu’un lance une n-ième rumeur numérique sans fondement. Pourquoi imaginer des complots comme ça ? Ceux qu’on voit ne vous suffisent-ils pas ?



secouss
Il y a 4 ans

Free aurais envoyé une réponse papier avec des fôtes d’orthographe (comme avec la hadopi à une époque) le tout en comic sans lol

Sinon c’est la classe, merci orange d’ouvrir le RGPD pour sanctionner ces boites qui ignorent le droit (sauf quand il est à leur avantage !) Faut envoyer une jambe de bois à Orange pour son entrée chez les pirates ^^


dematbreizh Abonné
Il y a 4 ans

Et là, ils l’ont dedans.


dematbreizh Abonné
Il y a 4 ans

Je ne sais pas vous, mais j’aime augmenter ma culture. J’ai donc taper Mile High Distribution dans google.
Et le fait de savoir que ce sont des œuvres québécoises me donne envie de plus de cul.ture
Pour la science.


SebGF Abonné
Il y a 4 ans

Le secteur du porno est l’un des plus touchés par le piratage de masse.

Surtout quand on voit à côté toute la sphère MindGeek qui est productrice, mais aussi un fort vecteur de piratage avec la galaxie PornHub dont elle est aussi propriétaire. Ou comment avoir des revenus sur la vente via les studios et distributeurs, mais aussi le publicitaire sur les plateformes de streaming et les abonnements premium possibles dessus. Et donc fait sa loi.

Les studios plus indépendants ou distributeurs sont littéralement écrasés par ça tout en subissant le piratage.

Et comme c’est un tabou, tout le monde s’en fout.